AVG boetes

Welke boetes worden aan website-eigenaren opgelegd voor inbreuk op de gegevensbescherming?

Op 14 oktober 2019 heeft de Conferentie van de onafhankelijke gegevensbeschermingsautoriteiten van de Federatie en de deelstaten (DSK) een concept gepubliceerd voor de beoordeling van boetes in procedures tegen ondernemingen. Het is nu eindelijk duidelijk welke boetes websitebeheerders kunnen verwachten in geval van inbreuken op de gegevensbescherming. 

Basisinformatie over het fraaie concept van de DSK

Het is algemeen bekend dat overtredingen van de AVG kunnen leiden tot een boete die kan oplopen tot tien miljoen euro of twee procent van de jaarlijkse omzet die wereldwijd wordt behaald. Bij ernstigere overtredingen kan de boete zelfs het dubbele bedragen. Voorheen was het echter onduidelijk wat het bedrag van een boete in een specifiek individueel geval kon zijn. Het concept van de DSK brengt daar nu verandering in en biedt de Duitse toezichthoudende autoriteiten voor gegevensbescherming een uniforme en concrete berekeningsgrondslag. Bovendien is het concept duidelijk bedoeld om een algemene preventieve werking op ondernemingen uit te oefenen en duidelijk te maken dat hoge boetes te verwachten zijn als niet aan de vereisten van AVG wordt voldaan.

Aangezien het concept slechts een model is en geen wet, heeft het alleen betrekking op boeteprocedures tegen ondernemingen die worden ingeleid door Duitse toezichthoudende autoriteiten voor gegevensbescherming. Het heeft geen bindende gevolgen voor de vaststelling van geldboeten door rechtbanken.

Bovendien kan het concept te allen tijde door de gegevensbeschermingsautoriteit worden herroepen, gewijzigd of uitgebreid. Bovendien is het slechts een tijdelijke oplossing tot de definitieve aanneming van de richtsnoeren voor de berekening van geldboeten door het Europees Comité voor gegevensbescherming. Het valt dus nog af te wachten hoe de situatie met de boetes zich zal ontwikkelen.

berekening dsgvo-boetes

Hoe wordt de boete berekend?

Het concept van de DSK voorziet in een procedure in vijf stappen voor de berekening van de specifieke boete:

Stap 1:

De onderneming wordt ingedeeld in een van de vier grootteklassen (A tot D) op basis van haar totale wereldwijde omzet in het voorgaande jaar, die elk weer onderverdeeld is in drie subgroepen (A.I tot A.III, B.I tot B.III, enz.) voor een meer specifieke classificatie.

Classificatie op basis van jaaromzet:

Groep A: tot 2 miljoen EUR
Groep B: van 2 tot 10 miljoen EUR
Groep C: van 10 tot 50 miljoen EUR
GroepD: meer dan 50 miljoen EUR

Stap 2:

De gemiddelde jaaromzet van de subgroep waarin de onderneming is ingedeeld, wordt bepaald.

Stap 3:

De economische basiswaarde wordt bepaald. Dit is de basis voor de verdere vaststelling van de boete en komt overeen met de gemiddelde jaaromzet van de subgroep waarin de onderneming was ingedeeld, gedeeld door 360 (dagen) en afgerond tot op de eerste decimaal.

Stap 4:

Een multiplicator wordt afgeleid van de ernst van de inbreuk op de gegevensbescherming. In dit verband wordt de mate van ernst op basis van de specifieke omstandigheden van het individuele geval ingedeeld in licht, middelzwaar, ernstig of zeer ernstig

De catalogus van criteria die deze mogelijke omstandigheden beschrijven, is te vinden in artikel 83, lid 2, AVG . Daartoe behoren bijvoorbeeld het type en de duur van de inbreuk, het aantal getroffen personen, de omvang van de schade, de wijze van samenwerking met de toezichthoudende autoriteit en ook de vraag of met de inbreuk directe financiële voordelen zijn behaald. 

Voorts wordt een onderscheid gemaakt tussen "formele" (art. 83, lid 4 AVG) en "materiële" (art. 83 ABs. 5 en 6 AVG) inbreuken. Afhankelijk van het soort en de ernst van de inbreuk op de gegevensbescherming bedraagt de factor voor formele inbreuken tussen 1 en 6, voor materiële inbreuken tussen 1 en 12; voor zeer ernstige inbreuken kan de factor zelfs nog hoger zijn.

Stap Vijf:

De basiswaarde wordt uiteindelijk aangepast op basis van alle andere omstandigheden die voor en tegen de betrokkene spreken. Het gaat met name om omstandigheden die verband houden met de overtreder en andere omstandigheden, zoals een lange duur van de procedure of een dreigend faillissement van de vennootschap.

AVG-Fijn - Een voorbeeld van berekening 

Uiteindelijk is het beschreven vijf-stappen-proces niet zo ingewikkeld als het op het eerste gezicht lijkt. Hier is een concreet voorbeeld:

Laten we aannemen dat een zelfstandige in het voorgaande jaar een omzet had van 80.000 euro. Daarmee bevindt hij zich in de (laagste) subgroep A.I (jaaromzet van € 0 tot € 700.000; niveau 1), de gemiddelde jaaromzet is dus € 350.000 (niveau 2) en de economische basiswaarde is € 972 (niveau 3).

Laten we verder aannemen dat het gaat om een onjuiste verklaring inzake gegevensbescherming op de website van de zelfstandige. Dit vormt een inbreuk op artikel 83, lid 5, onder b), AVG . Aangezien de ernst van de inbreuk als "licht" moet worden aangemerkt, kan de factor naar het oordeel van de toezichthoudende autoriteit voor gegevensbescherming "slechts" 2 (niveau 4) bedragen; een aanpassing zou naar het oordeel van de toezichthoudende autoriteit voor gegevensbescherming (niveau 5) niet passend zijn.

Daarmee zou de boete op € 1.944 bedragen.

Conclusie

Met het boetebeginsel van de DSK is het nu duidelijk dat zelfs betrekkelijk onbeduidende inbreuken op de gegevensbescherming tot relevante boetes zullen leiden. Daarom moeten alle ondernemingen zo spoedig mogelijk controleren of laten controleren of zij naar behoren voldoen aan alle vereisten inzake gegevensbescherming, zoals een correcte cookiebanner. Dit komt doordat de gegevensbeschermingsautoriteiten niet toevallig actief worden, maar in de eerste plaats wanneer schendingen van de gegevensbescherming aan hen worden gemeld. En deze verslagen komen in de praktijk vaak van ontevreden klanten of concurrenten die op deze manier hun concurrenten schade willen berokkenen.

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.